作为拥有超过3亿实名用户、单日交易笔数达到1.97亿笔的交易工具，支付宝靠什么来保证账户的安全。

首先，支付宝密码丢失怎么办？

最大的损失来源是账户扫描。您的账户密码在其他网站丢失后，用于登录支付宝。由于使用同一套密码，导致支付宝密码丢失。这一丢失比例占所有密码丢失案例的 47%。

第二类是社工，他们冒充各种公诉人、熟人朋友、假冒客服等，利用短信、聊天工具骗取你的各种信息，然后窃取或更改你的密码。还有一定比例的钓鱼、木马。钓鱼就是建立一个假网站，比如淘宝之类的，诱骗你输入账号和密码，而木马则是投毒。

相比之下，因手机丢失导致的密码丢失比例并不高，约为2%。

密码丢失后，支付宝产品系统中还有一个名为CTU的​​风控大脑。该风险确定工具已经接受了 8 年的培训。它将根据策略对交易的风险进行评分，范围为0-1。当交易风险大于0.93时，交易将被直接拒绝。当风险等级较高时，支付宝会要求进行二次验证，以确定该账户是否属于本人。

A是深圳的支付宝用户。他经常使用支付宝购买金融产品。去年6月7日，A某收到伪基站短信，主动输入身份证信息和银行卡信息，遭到手机木马攻击。当晚，骗子在获取A的信息后，成功获取验证码，更改登录密码，登录广州某社区，随后更改支付密码。然后我就下了一个订单，但是付款的时候CTU直接判定交易失败，限制了账户。次日，支付宝客服与用户沟通，确认账户被盗。

由于风险评分太高，该交易被中止。首先，登录的设备不是机主的日常设备。登录地点不在深圳，而是在广州的一个小区。其次，CTU对更改密码的行为感到困惑。为什么经常输入密码的人会在半夜更改密码？一般来说，更改密码的原因是忘记密码，必须找回密码才能重置。最后，店主平时主要是理财，很少做淘宝。然而，他却在半夜更改了密码并直接下单，这有违常理。因此，CTU 终止了该交易。

关系是CTU判断风险的重要维度。当一个账户被盗时，需要将资金转移到另一个账户。而如果这个账户从未与您或您的朋友发生过任何资金交易，CTU就会警惕。而且，如果这个账户有不良记录，或者与黑名单账户有交集，CTU会在很大程度上拦截。因为它会判断这很可能不是账户自己的操作。

用户操作手机的习惯也是CTU做出风险判定的重要维度。每个人的行为习惯都有自己的习惯，就像走路的姿势、写字一样。每个人触摸手机屏幕的方式都不同，手机上也有很多传感器。因此，可以通过手指压力、接触面积、重力变化、连续间隔等来帮助判断是否是自己完成的。支付宝透露，通过该技术的应用，风险判定的成功率提高了五倍。

账户、设备、位置、行为、关系、偏好，每个主要类别都包含许多详细的策略。这样的策略总共大约有个，CTU通过计算这些复杂的策略来做出风险判断。

蚂蚁金服高级安全策略师冯立国提供的数据显示，这种方法造成财务损失的概率约为百万分之一，低于生四胞胎的概率。